Sikkerhedsbrud

En anden af Datatilsynets vejledninger handler om brud på datasikkerheden. I den forbindelse er det vigtigt at bemærke, at det kun er de informationssikkerhedshændelser, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er omfattet af databeskyttelsesforordningens definition af et brud på persondatasikkerheden. Har din virksomhed så samtidig en ISO27001 certificering at bekymre sig som, så er et brud en informationssikkerhedshændelse og er defineret som

En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt
brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation, der kan være relevant for sikkerheden ...

Handlemønsteret ved sådanne brud er (som ved færdselsuheld):

  1. Skab sikkerhed[1]
  2. Vurdér bruddets omfang[2]
  3. Tilkald hjælp[3]
  4. Registrér bruddet og forlang en rapport fra det tilkaldte personale. Bliver det slået fast her, at bruddet har ført til et brud på persondatasikkerheden, gå da videre med punkt 5-7 - men først da!
  5. Begræns skadens omfang - evt ved at gå i dialog med politiet, CSIRT eller private virksomheder med brud på datasikkerheden som speciale.
  6. Informér registrerede om bruddet og de mulige konsekvenser - specielt hvor der er høj risiko for skadevirkninger for fysiske personer (økonomiske tab, tab af ære, omdømme, identitet, mm)
  7. Dernæst, senest 72 timer[4] senere, varsko Datatilsynet på virk.dk - der vil også være en henvisning fra datatilsynet.dk
  8. Evaluér handlemønsteret i organisationen - og beslut/implementér eventuelle forbedringer af handlemønsteret med henblik på en optimering af responsen

  1. afskærm udstyret fra andet udstyr (sluk for trådløs netværksadgang, fjern netværksstik) ↩︎

  2. det kan være svært, selv for fagligt kompetent personale, især hvis bruddet alene er 'i systemer' og ikke har efterladt fysiske spor ↩︎

  3. hvis bruddets omfang står klart og kan afhjælpes af den dataansvarlige er der ikke noget krav om at tilkalde hjælp, men ellers vil det være det næste naturlige skridt ↩︎

  4. forsinkes den dataansvarlige eller databehandleren i at oplyse om bruddet i tide, skal oplysningen følges af en forklaring på forsinkelsen - og det forventes at forsinkelser, som kan begrundes i en indsats for at standse bruddet og begrænse skadens omfang, vil blive godtaget ↩︎